今年9月，Forrester 分析師 Josh Zelonis 發布了一份關于外部威脅情報服務的廠商評估報告¹。這份報告基于 10 項評估標準（參見附錄圖1），對市場上較重要的15 家威脅情報廠商做了進一步分析。報告讀完后，我有一些不太成熟的想法在此和大家分享。

1、情報能力是廠商的綜合技術能力表現

Josh 提出一項重要觀點：廠商的情報收集能力是其最大的市場關鍵差異點。他在評估廠商、進行能力排序時，認為應該始于對廠商情報來源和收集能力的了解，以便判斷廠商能力宣稱的可信度。具體體現到評估標準中：

• 情報源應足夠全面，覆蓋開源情報、暗網情報，以及利用傳感器網絡（收集網絡設備的流量數據、終端軟件的樣本信息，或 MSS 服務獲取的日志信息）和 DFIR 能力進行情報收集。此外，尚需考慮廠商如何利用分析師和技術來構建這些能力。
• 針對 APT 情報、黑產情報和金融犯罪情報，廠商的情報收集策略是如何予以支撐的？廠商又是如何體現自身在這些方面的獨特差異性？

綜上，咨詢機構已充分認識到，情報能力需要整合技術、人和運營，同時也需要產品和服務能力的有效結合。目前處于市場領先地位的廠商往往是綜合型安全廠商（如大家熟知的 FireEye 和 Crowdstrike），而不是獨立的情報廠商。FireEye 作為本次評估綜合實力最強的公司，正如 ZenMind 之前總結過的² ：“利用在優勢沙箱技術衍生的 DTI 情報，利用優勢情報分析和事件響應能力衍生的作戰、戰略類情報，這些是 FireEye 優勢的高度匯聚。”再如 Crowdstrike，2013年尚在 B 輪，當時產品布局上已體現云端運營和情報能力。CrowdStrike 云會通過全球范圍部署的傳感器實時收集安全事件和情報，進行關聯分析和事件挖掘。Falcon Intelligence 作為其大數據主動防御平臺的一個應用，也有單獨的 Intelligence-as-a-Service 服務。CrowdStrike 采用產品和服務并行的模式，其事件響應和威脅狩獵服務能力也會轉化到情報上。其公開材料介紹的情報團隊組成參見附錄圖2，從中可以看出情報團隊實則是涉及多項專業領域的綜合團隊。

2、廠商將數據轉化為情報的能力

以這次報告中強調的暗網情報為例。Josh 對廠商的這項評估要求，并不止步于概念或者市場營銷層面，而是要求廠商切實闡述自身的理解以及如何利用私人論壇等渠道進行有效的數據收集，而且要有專職的分析師資源投入，從而進行數據到信息到最終情報的轉化。本次評估結果，FireEye、Hold Security、Flashpoint、Intel 471 以及卡巴斯基在暗網情報能力上，均超出市場平均水平。其中Intel 471 在暗網情報上擁有業界最大的分析師資源池。

3、情報需要考慮區域特性和語言特點

具備全球覆蓋度的情報能力，實則是對廠商的區域服務能力和語言能力提出了要求。FireEye 介紹自身情報能力的公開材料中，多次出現諸如地緣專家、語言學家一類的專家資源。在前面提過的 Crowdstrike 情報團隊也有類似的職責和角色。入選廠商中，有兩家來自俄羅斯，分別是卡巴斯基和 Group-IB。Josh 建議：如果關心非西方情報源的APT情報，可以考慮卡巴斯基；如果希望獲取基于俄語的地下產業情報，則推薦 Group-IB。同時我們也看到，一些國際安全廠商會選取區域情報廠商進行合作。

4、情報市場空間巨大，將不斷有新的公司進入

本次評估廠商名單，除了一些已經熟悉的廠商，還看到一些新鮮的面孔，如以暗網情報能力見長、HUMINT 情報能力領先的 Hold Security；情報應用側重在欺詐檢測、品牌監控以及數字風險保護的以色列公司 IntSights。結合 Gartner 的預測³，2021年威脅情報市場將會成長為一個 17.8 億美元的市場，這個市場存在較大發展空間并且復合增長率較高，必然還會吸引更多廠商進入。

上述個人想法難免偏頗和不足，歡迎指正，也希望和大家有更多探討。

附錄：

本次評估標準涵蓋 7 項產品能力（對應 New Wave 模型 Y 軸）與 3 項公司戰略層面的評估內容（對應 New Wave 模型 X 軸）。參考 Josh 去年的報告《Vendor Landscape: External Threat Intelligence, 2017》，并基于個人理解，評估標準內容翻譯整理見下圖，有興趣的同學可以具體看看。

圖1-評估標準.png

圖2- Crowdstrike 情報團隊構成.png

1. Josh Zelonis, “The Forrester New WaveTM: External Threat Intelligence Services, Q3 2018”，Forrester，2018年9月，https://reprints.forrester.com/#/assets/2/1456/RES143275/reports
2. ZenMind，《從FireEye發展看產品規劃》，http://www.lxweimin.com/p/e78a869c7f8c
3. Ruggero Contu, Lawrence Pingree, “Competitive Landscape: Threat Intelligence Services, Worldwide, 2017”， Gartner，2017年7月26日